Академический Документы
Профессиональный Документы
Культура Документы
2
AGRADECIMENTOS
3
Resumo
4
Abstract
The proposal of this study into the correlations between CobiT and ITIL
methodologies and norm ISO 17799 relating to the Security of Information, will
suggest a method for the more efficient control of IT resources and processes,
which contributes to the reduction of risks while highlighting the benefits of a
secure infrastructure. The CobiT model and norm ISO 17799 are used to define
the controls and objectives to be implemented and the model ITIL is used to
define the processes for implementation.
5
Lista de Figuras
Figura 1 – Os 4 domínios do COBIT, Fonte: ITGI ................................................................. 21
Figura 2 - TI como habilitador do Negócio, Fonte: ITGI ........................................................ 23
Figura 3 - Modelo do ITIL, Fonte: OGC (2001) ..................................................................... 29
Figura 4 – Estrutura proposta na análise correlacional ......................................................... 48
6
Lista de Tabelas
Tabela 1 – Principais associações de classe de profissionais ligados à área financeira nos 42
Estados Unidos .....................................................................................................................
Tabela 2 - Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO 46
17799 ....................................................................................................................................
Tabela 3 – Proposta de estratégia para implementação dos requisitos identificados neste 49
trabalho .................................................................................................................................
Tabela 4 - Correlação da ISO 17799 com os modelos CobiT e ITIL .................................... 50
7
Sumário
1. INTRODUÇÃO .......................................................................................................................... 9
1.1. OBJETIVOS DO TRABALHO .................................................................................................. 10
1.2. MOTIVAÇÃO DO TRABALHO ................................................................................................ 10
1.3. METODOLOGIA .................................................................................................................. 11
2. GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO ................................................... 12
2.1. A LEI SARBANES-OXLEY .................................................................................................... 13
2.2. A BASILÉIA II .................................................................................................................... 14
2.3. CVM NO BRASIL ................................................................................................................ 15
2.3.1. Objetivos ...................................................................................................................... 18
2.4. COBIT ............................................................................................................................... 19
2.4.1. Modelo de Processos de TI............................................................................................ 19
2.4.2. Modelo para Governança de TI..................................................................................... 22
2.4.3. Modelo de Maturidade TI.............................................................................................. 24
2.4.4. Objetivos e Benefícios ................................................................................................... 25
2.5. ITIL .................................................................................................................................. 25
2.5.1. A Teoria dos Processos do ITIL..................................................................................... 27
2.5.2. A Estrutura da Bibilioteca ITIL ..................................................................................... 28
3. SEGURANÇA DA INFORMAÇÃO ........................................................................................ 30
3.1. HISTÓRICO DA NORMA NBR ISO/IEC 17799:2005 ........................................................... 30
3.2. GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO ................................................................. 32
3.3. REQUISITOS PARA A PROPOSTA DE UM MODELO CORRELACIONAL PARA O TEMA SEGURANÇA DA
INFORMAÇÃO ................................................................................................................................... 33
3.4. OUTRAS NORMAS E FERRAMENTAS ..................................................................................... 36
3.4.1. Orange Book................................................................................................................. 36
3.4.2. Common Criteria .......................................................................................................... 38
3.4.3. Norma ISO/IEC TR 13335............................................................................................. 38
3.4.4. Norma IEC 61508 ......................................................................................................... 39
3.4.5. Coso ............................................................................................................................. 41
3.4.6. Norma ISO/IEC 27000 .................................................................................................. 42
4. PROCESSOS E CONTROLES MAPEADOS NA CORRELAÇÃO DOS MODELOS COBIT
E ITIL E A NORMA ISO 17799........................................................................................................ 45
4.1. RELACIONAMENTO DOS PROCESSOS .................................................................................... 45
5. A UTILIZAÇÃO DA ESTRUTURA DE DECISÃO DE SISTEMAS DE INFORMAÇÃO
GERENCIAIS.................................................................................................................................... 47
5.1. APLICABILIDADE DO EST UDO: CONTINUIDADE DO NEGÓCIO ................................................ 51
6. CONCLUSÃO .......................................................................................................................... 53
7. REFERÊNCIAS BIBLIOGRÁFICAS ..................................................................................... 55
8
1. Introdução
Uma análise do cenário atual demonstra que o crescimento e o sucesso
das organizações estão diretamente relacionados à necessidade de se manter
uma infra-estrutura de Tecnologia da Informação (TI) segura e confiável. A
dependência atual das organizações da sua infra-estrutura de TI, associado às
oportunidades, benefícios e riscos inerentes a essa área, exige que essas
organizações passem a considerar a necessidade de um melhor
gerenciamento das questões relacionadas à TI. Esse cenário levou ao
desenvolvimento de modelos que apresentem as melhores práticas para se
obter a Governança da Tecnologia da Informação.
9
1.1. Objetivos do trabalho
10
1.3. Metodologia
11
2. Governança da Tecnologia da Informação
1
Weill & Ross, 2004
2
ITGI, 2001
3
Van Grembergen, 2003
4
Weill & Ross, 2004
12
Para alcançar a Governança da Tecnologia da Informação as
organizações utilizam modelos de gestão que se aplicados asseguram a
conformidade com as melhores práticas de processos e segurança da
informação. Entre esses modelos, pode-se citar CobiT para a Governança de
TI e ITIL para a gestão dos serviços de TI.
13
302 requer que o principal executivo (CEO) e o principal executivo de finanças
(CFO) assumam a responsabilidade por definir, avaliar e monitorar a eficácia
dos controles internos sobre relatórios financeiros e divulgações da empresa.
Estes controles devem ser suficientes e capazes de livrar a instituição dos
riscos que possam ameaçar suas principais funções e, com isso, prejudicar
respectivas entidades e partes interessadas, como clientes e acionistas.
2.2. A Basiléia II
14
do Risco Operacional. Este último, conforme descrito pelo Comitê da Basiléia
em 2001, é o risco de perdas diretas e indiretas, resultante de falhas em
processos internos ou de eventos externos5, tais como fraudes, relações
trabalhistas, danos a ativos, interrupção do negócio e falhas de 17 sistemas,
execução e gestão de processo. Na prática, o novo acordo atinge os bancos da
seguinte maneira: a instituição que não possuir controles internos eficientes e
uma metodologia de avaliação de riscos implementada será obrigada a manter
uma quantidade maior de recursos próprios em sua estrutura patrimonial,
enquanto que, instituições que investirem nesses itens terão que reter menor
volume de recursos, o que tem um impacto determinante na competitividade
dos bancos.
A Lei que criou a CVM (6385/76) e a Lei das Sociedades por Ações
(6404/76) disciplinaram o funcionamento do mercado de valores mobiliários e a
5
CAMARGO, 2003
6
CAMARGO, 2004
7
CVM. Disponível em: http://www.cvm.gov.br/port/acvm/atribuic.asp. Acesso em: 07/01/2007
15
atuação de seus protagonistas, assim classificados, as companhias abertas, os
intermediários financeiros e os investidores, além de outros cuja atividade gira
em torno desse universo principal.
16
A atividade de credenciamento da CVM é realizada com base em
padrões pré-estabelecidos pela Autarquia que permitem avaliar a capacidade
de projetos a serem implantados.
17
A atividade de fiscalização da CVM realiza-se pelo acompanhamento da
veiculação de informações relativas ao mercado, às pessoas que dele
participam e aos valores mobiliários negociados. Dessa forma, podem ser
efetuadas inspeções destinadas à apuração de fatos específicos sobre o
desempenho das empresas e dos negócios com valores mobiliários.
2.3.1. Objetivos
18
2.4. CobiT
19
Tradicionalmente os componentes do CobiT são utilizados para auxiliar
as organizações na própria preparação para as auditorias e no monitoramento
e avaliação dos processos de TI. Para tanto, as boas práticas do CobiT são
organizadas em processos, cada qual visando a um objetivo de controle.
20
Figura 1 – Os 4 domínios do COBIT, Fonte: ITGI
? Eficácia
? Eficiência
? Confidencialidade
? Integridade
? Disponibilidade
? Conformidade
? Confiabilidade
21
O grau de importância de cada um desses critérios é uma função do
negócio e do ambiente em que a organização opera. Numa avaliação de riscos,
esses critérios atribuem pesos diferentes aos Processos do CobiT, em função
da importância no alcance dos respectivos Objetivos de Controle.
22
Os Critérios de Informação podem ser: Eficácia, Eficiência,
Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade.
A combinação desses elementos depende da natureza do Processo de TI.
23
2.4.3. Modelo de Maturidade TI
24
2.4.4. Objetivos e Benefícios
2.5. ITIL8
8
ITIL. Disponível em: http://www.itilsurvival.com/. Acesso em: 15/12/2006
25
Por esta razão, o controle do ambiente de TI tem se tornado um item de
extrema importância e de alta complexidade.
26
1. Service Support - descreve a função de Service Desk e os
processos de Incident Management, Problem Management,
Configuration Management, Change Management e Release
Management.
2. Service Delivery – descreve os processos de Capacity
Management, Financial Management for IT Services, Availability
Management, Service Level Management e IT Service Continuity
Management.
3. Planning to Implement Service Management - explica os passos
necessários para identificar como uma organização pode alcançar e
usufruir os benefícios da ITIL.
4. ICT Infrastructure Management - este livro aborda os processos,
organização e ferramentas necessários para prover uma infra-
estrutura estável de TI e de Comunicações.
5. Application Management – é um guia para os usuários de negócios,
desenvolvedores e gerentes de serviços que descreve como as
aplicações podem ser gerenciadas sob a perspectiva de
Gerenciamento de Serviços.
6. Security Management - este livro tem conexões com vários outros
domínios da ITIL, explicando como gerenciar melhor os níveis de
segurança da infra-estrutura de TI.
7. Business Perspective - este livro ajuda os Gerentes de Negócios a
compreenderem a provisão dos serviços de TI.
9
Office for Government Commerce - Disponível em: http://www.ogc.gov.uk/guidance_itil.asp Acesso
em: 16/12/2006
27
(2001) um processo pode ser definido como: “uma série conectada de ações,
atividades, mudanças, etc., executadas por agentes dentro do objetivo de
satisfazer um propósito ou alcançar um objetivo.”
28
O interesse nesta área deve-se ao fato de que, através de metodologias
(processos) padronizadas de Gerenciamento do Ambiente de TI, é possível
obter uma relação adequada entre custos e níveis de serviços prestados pela
área de TI.
29
3. Segurança da Informação
30
informação destinada a empresas, criada na Inglaterra em 1995 e
disponibilizada para consulta pública dividida em duas partes: a primeira (BS
7799-1) em 1995, a segunda (BS 7799-2) em 1998.
31
3.2. Governança de Segurança da Informação
10
IAA, 2001
32
incorporar as questões de segurança computacional em suas ações de
governança11.
11
CGTFR, 2004
12
BSA, 2003
13
ENTRUST, 2004
33
Na busca por um modelo capaz de abranger procedimentos associados
a Segurança da Informação este trabalho mapeia diversos requisitos
reconhecidos pelo mercado e identificados tanto na normativa de segurança
mencionada neste trabalho, como na política de segurança das empresas de
grande porte14.
14 http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=27628
34
9. Organizações precisam conduzir testes periódicos e avaliar a
eficiência das políticas e procedimentos relacionados a segurança da
informação;
10. Organizações precisam criar e executar um plano para remediar
vulnerabilidades ou deficiências que comprometam a segurança da
informação;
11. Organizações precisam desenvolver e colocar em prática
procedimentos de resposta a incidentes;
12. Organizações precisam estabelecer planos, procedimentos e testes
para prover a continuidade das operações;
13. Organizações precisam usar as melhores práticas relacionadas à
segurança computacional, como a ISO 17799 15, para medir o nível
alcançado em relação à segurança da informação.
1) O que se espera de cada indivíduo (o que deve e o que não deve ser
feito);
15
ISO, 2000
35
2) Como cada indivíduo poderá verificar se está cumprindo o que é
esperado (indicadores de produtividade);
3) Quais métricas devem ser utilizadas para medir a eficiência dos
processos executados e apontar ajustes que necessitam ser
aplicados.
16
Orange Book. Disponível em: http://www.dynamoo.com/orange/summary.htm. Acesso em: 15/12/2006
36
somente na questão da segurança de computadores, mas sim na segurança de
toda e qualquer forma de informação. Este esforço foi liderado pela ISO
(International Organization for Standardization).
37
3.4.2. Common Criteria17
17
Common Criteria. Disponível em: http://www.commoncriteriaportal.org. Acesso em: 15/12/2006
18
Norma ISO/IEC TR 13335. Disponível em: www.contacta.com.br/rodrigo/mestrado/referencias.htm.
Acesso em 15/12/2006
38
A Parte 2 – Managing and Planning IT Security – da norma, publicada
em 1997, trata do relacionamento da área de segurança da informação com as
demais áreas da organização, principalmente a área de segurança corporativa.
De maneira semelhante ao padrão BS7799, a Parte 2 sugere a criação de um
comitê interdisciplinar que envolva as diversas áreas da empresa
principalmente os responsáveis pelos ativos e pelas informações. Este comitê
deve reunir-se periodicamente para definir os níveis aceitáveis de risco, cobrar
e acompanhar resultados e reavaliar o projeto de segurança da informação
quando necessário. A cláusula 7 da Parte 2 especifica um fluxo de
planejamento e gerenciamento do projeto de segurança da informação, além
de definir uma série de responsabilidades, com a orientação das atribuições
dos atores do processo.
19
Norma IEC 61508. Disponível em:
http://www.controleinstrumentacao.com.br/arquivo/ed_104/cv5.html. Acesso em: 15/12/2006
39
A norma internacional (IEC 61508:1998) enfoca, através de uma
abordagem genérica, as atividades do Ciclo de Vida de Segurança para os
Sistemas Elétricos, Eletrônicos e Eletrônicos Programáveis (E/E/PES) que são
utilizados para desempenhar funções de segurança. Neste sentido, esta norma
vem sendo elaborada com o objetivo de desenvolver um policiamento técnico
consistente para todos os sistemas elétricos/eletrônicos relacionados com a
segurança.
40
característica do equipamento, incluindo o sistema de controle associado que
pode produzir o risco.
Decidir qual modelo adotar também não é tarefa fácil. Assumindo que os
objetivos de TI serão atingidos por meio de dimensões como estruturas e
regras, processos, tecnologia, pessoas, controles e métricas, todos os modelos
listados apresentam pontos fortes e limitações.
3.4.5. Coso20
20
Coso. Disponível em: http://www.auditoriainterna.com.br/coso.htm. Acesso em: 15/12/2006
41
Posteriormente a Comissão transformou-se em Comitê, que passou a
ser conhecido como COSO – The Comitee of Sponsoring Organizations
(Comitê das Organizações Patrocinadoras). O COSO é uma entidade sem fins
lucrativos, dedicada à melhoria dos relatórios financeiros através da ética,
efetividade dos controles internos e governança corporativa. É patrocinado por
cinco das principais associações de classe de profissionais ligados à área
financeira nos Estados Unidos, conforme apresentado na Tabela 1.
21
FARIAS JR., Ariosto. "A Família ISO/IEC 27000" em Security Review: Conteúdo Editorial,
Janeiro/fevereiro 2006, ano II, número 66, pp. 8-10.
42
No Brasil, apenas seis organizações até o momento atual conseguiram
obter o certificado ISO27001: Serasa, Banco Matone, Samarco, Módulo
Security, Unisys e SERPRO.
22
Disponível em: http://www.abntonline.com.br/consultanacional/. Acesso em: 16/12/2006
43
organização. Os objetivos de controle e os controles definidos nesta
norma têm como finalidade atender aos requisitos identificados na
análise/avaliação de riscos.
• NÚMERO: ISO IEC 1st WD 27003 TÍTULO: Information Security
Management Systems-Implementation Guidance SITUAÇÃO: Este
projeto de norma encontrase em um estágio de desenvolvimento,
denominado de WD-Working Draft. A previsão para publicação como
norma internacional é 2008-2009 APLICAÇÃO: Este projeto de norma
tem como objetivo fornecer um guia prático para implementação de um
Sistema de Gestão da Segurança da Informação, baseado na ISO IEC
27001.
• NÚMERO: ISO IEC 2nd WD 27004 TÍTULO: Information Security
Management- Measurements SITUAÇÃO: Este projeto de norma
encontra-se em um estágio onde vários comentários já foram discutidos
e incorporados ao projeto. A previsão para publicação como norma
internacional é 2008-2009 APLICAÇÃO: Este projeto de norma fornece
diretrizes com relação a técnicas e procedimentos de medição para
avaliar a eficácia dos controles de segurança da informação
implementados, dos processos de segurança da informação e do
Sistema de Gestão da Segurança da Informação.
• NÚMERO: ISO IEC 2nd CD 27005 TÍTULO: Information Security
Management Systems-Information Security Risk Management
SITUAÇÃO: Este projeto de norma já se encontra em um estágio mais
avançado, pois vem sendo discutido há mais de dois anos. A previsão
para publicação como norma internacional é 2007. APLICAÇÃO: Este
projeto de norma fornece diretrizes para o gerenciamento de riscos de
segurança da informação.
44
4. Processos e Controles mapeados na correlação
dos Modelos CobiT e ITIL e a Norma ISO 17799
Para que o modelo CobiT, o modelo ITIL e a norma ISO 17799 possam
ser utilizados neste estudo, este trabalho apresentará uma correlação entre os
objetivos de controle apresentados no modelo CobiT e os apresentados na
norma ISO 17799. Também serão apresentados quais objetivos de controle
são referenciados pelos processos descritos no modelo ITIL (Suporte a
Serviços e Entrega de Serviços).
45
O modelo ITIL não está focado em descrever o que deve ser abordado
no gerenciamento de TI. Seus processos estão estruturados e detalhados para
indicar como implementar e quem (papéis e responsabilidades).
Tabela 2 - Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO 17799
Objetivos de Controle do COBIT Objetivos de Objetivos de
Controle do Controle do
COBIT COBIT referenciados
referenciados na no
ISO 17799 modelo ITIL
PO – Planejamento e Organização
PO1-Definir um Plano Estratégico de TI
PO2-Definir a Arquitetura da Informação X
PO3-Determinar a Direção Tecnológica X Superficialmente
Nível Estratégico
AI6-Gerenciar Mudanças X X
DS – Entrega e Suporte
DS1-Definir e Gerenciar Níveis de Serviço X X
DS2-Gerenciar Serviços de Terceiros X X
DS3-Gerenciar Desempenho e Capacidade X X
DS4-Garantir Continuidade dos Serviços X X
DS5-Garantir Segurança de Sistemas X
DS6-Identificar e Alocar Custos X
DS7-Educar e Treinar Usuários X
DS8-Auxiliar e Aconselhar Clientes X X
DS9-Gerenciar Configuração X X
DS10-Gerenciar Problemas e Incidentes X X
DS11-Gerenciar Dados X X
DS12-Gerenciar instalações X
DS13-Gerenciar a Operação X X
M – Monitoramento
Estratégico
M1–Monitorar os Processos X
Nível
46
Após uma avaliação de cada objetivo de controle descrito no modelo
CobiT, este trabalho propõe uma categorização nos níveis operacional, tático e
estratégico.
47
Para que o conhecimento gerado maximize seu valor, este trabalho
propõe a estruturação dos requisitos propostos na seção 3.3 de uma forma que
possam ter enfoque também em controles, processos, pessoas e tecnologias,
compondo uma matriz 3x4 que pode ser representada através da proposta
apresentada na Figura 4.
48
b. Tático: Atividade proativas com revisões periódicas, busca contínua
pela qualidade e possibilidade de planejamento em longo prazo;
c. Estratégico: Gerar conhecimento para permitir a visão organizacional
para as questões de segurança computacional a partir de avaliações,
auditorias, definição de níveis de maturidade dos objetivos de
controle definidos e processos de extração de conhecimento de base
de dados.
8. Organizações precisam divulgar as informações sobre segurança computacional, Modelo ITIL expandido
treinando e educando os indivíduos.
Modelo COBIT e modelo
9. Organizações precisam conduzir testes periódicos e avaliar a eficiência das políticas ITIL
e procedimentos relacionados a segurança da informação.
Modelo ITIL expandido
10. Organizações precisam criar e executar um plano para remediar vulnerabilidades
ou deficiências que comprometam a segurança da informação.
11. Organizações precisam desenvolver e colocar em prática procedimentos de Modelo ITIL expandido
resposta a incidentes.
12. Organizações precisam estabelecer planos, procedimentos e testes para prover a Modelo COBIT e Modelo
continuidade das operações. ITIL
49
Modelo COBIT, Modelo
13. Organizações precisam usar as melhores práticas relacionadas à segurança ITIL e norma ISO 17799
computacional para medir a performance da segurança da informação.
> ITIL: Suporte a Serviços > ITIL: Entrega de Serviços > COBIT: Auditoria
Pessoas (adaptado) (expandido) > COBIT: Monitoramento
> ITIL: Suporte a Serviços > ITIL: Entrega de Serviços > COBIT: Auditoria
Processos (adaptado) (expandido) > COBIT: Monitoramento
Este trabalho propõe a utilização dos modelos CobiT e ITIL pelo fato de
possuírem uma coleção das melhores práticas para auxiliar a Governança da
Tecnologia da Informação, compiladas a partir da experiência profissional e
práticas de especialistas que desenvolvem suas pesquisas pelo mundo todo.
Esses modelos são reconhecidos e adotados em larga escala
internacionalmente. Uma vez que a norma ISO 17799 possui os objetivos de
controle específicos e detalhados para o gerenciamento de segurança
computacional, ela será utilizada como base para o modelo. Os objetivos de
50
controle relacionados às melhores práticas para segurança computacional
serão identificados no modelo CobiT e serão utilizados para ampliar a
abrangência da ISO 17799. A avaliação em níveis de maturidade proposta pelo
CobiT para cada objetivo de controle irá incorporar à norma ISO 17799 a
capacidade de obtenção de um processo contínuo de melhoria da qualidade da
segurança computacional dos serviços de TI oferecidos.
51
Abrangência dos procedimentos:
Resultado previsto:
Principais Benefícios:
52
6. Conclusão
53
cada um dos níveis de decisão. Isso facilitará a evolução do modelo e permitirá
que as falhas sejam atacadas de forma pontual.
54
7. Referências bibliográficas
55
RUDD, Colin. An Introductory Overview of ITIL. Publicado por iTSMF ltd,
Webbs Court, United Kingdom, 2004. Version 1.0a. Disponível online em:
http://www.itsmf.com/publications/ITIL/Overview.pdf. Visitado em 30/11/2006.
56